网络攻击的频率和复杂性都在不断增加,究其原因包括专业型恶意行为者日渐增多、劳动力和保护技术愈发分散,以及可能在不知不觉中充当攻击“入口”的设备和用户也在日益增加。
尽管我们无法从根本上避免企业遭受网络攻击,但通过建立多种物理和技术保护措施可以更好地保护网络数据。
本文将帮助安全团队了解如何掌握最新的工具和知识,以应对下一次关键的网络安全威胁。概括来说,针对安全威胁的关键保护措施包括:
- 结合零信任和SSL检查
- 检查常用应用程序的关键组件
- 投资特定于电子邮件的安全工具
- 制定移动设备管理计划
- 践行“无密码”策略并使用UEBA
- 更新您的事件响应计划
- 定期监控和审核您的网络
- 制定强有力的数据治理原则
- 就常见威胁媒介对您的团队进行教育培训
- 自动化安全管理流程
1. 结合零信任和SSL检查
零信任——以“从不信任,始终验证”的新安全架构为基础的工具和实践——正迅速成为网络安全工作中最有效最重要的部分。如今,零信任甚至已经达到美国联邦政策的水平。2021年5月,美国总统乔·拜登签署了一项加强美国网络安全的行政命令,承认联邦政府现行网络安全模式的固有弊端,明确指出部署零信任架构的迫切性。
不过,目前许多企业领导者仍对零信任的含义及实践存在误解。身份和访问管理(IAM)公司SecurID的首席产品官Jim Taylor对此给出了详细解释,“营销人员经常在产品宣传中抛出零信任的概念,在此需要警告大家注意:零信任并非产品、功能或服务。相反地,它是一个努力实现的目标,是一种思维方式。风险不是我们为了追求便利而进行的权衡:这只是一种糟糕的做法。在零信任安全模型中,我们使用基于风险的方法来映射给定事件的频率、可能性和影响,并优先考虑威胁因素。”
网络安全公司A10的技术营销工程师Babur Khan认为,零信任是网络安全的重要组成部分,它与SSL检查(SSL inspection)结合使用效果最佳。
Khan解释称,“SSL检查是拦截客户端和服务器之间的SSL加密Internet通信的过程。它能够提供深入的流量检查以及恶意请求的检测和改进,监控进出网络的数据进行分析,以及防止DDoS攻击。拜登总统的行政命令是联邦政府有史以来提出的影响最深远的网络安全基础设施和网络攻击预防战略,其对零信任架构的推广是实现其所有目标唯一实用和有效的基础。结合SSL检查可以进一步完善该架构,并确保我们的网络安全和网络攻击预防基础不同于传统架构,是真正面向未来的。”
2. 检查常用应用程序的关键组件
您的组织最常用的应用程序很可能包含残留的用户、权限和过时的安全方法,这些情况都会导致这些工具更易受到攻击。检查所有这些应用程序的配置方式,并监控哪些人具有访问权限以及他们何时及如何使用该访问权限至关重要。
网络安全公司Tenable的首席技术和安全策略师Derek Melber为保护流行的Microsoft Active Directory提供了建议,“保持Active Directory安全性的第一步就是确保AD的所有攻击面都得到适当的保护,这包括用户、属性、组、组成员、权限、信任、与组策略相关的设置、用户权限等等。一个很好的例子是要求对服务帐户进行强身份验证并主动管理他们所在的组。这部分意味着强制要求对所有用户进行多因素身份验证。在所有端点强制执行最小权限原则,以防止横向移动、阻止默认管理以及拒绝来自内置本地管理员帐户的访问。”
3. 投资特定于电子邮件的安全工具
大量成功的网络攻击都是通过授权用户的不知情行为进入企业网络的,主要攻击媒介多为网络钓鱼电子邮件。企业无法确保能够捕获每个网络钓鱼实例,但他们可以为电子邮件和其他应用程序添加额外的安全措施,避免内部员工变成外部参与者的攻击“入口”。
Juniper Networks高级总监Mike Spanbauer认为,在基于通信安全方面做出的努力对于保护企业用户及企业网络行为至关重要。他表示,“拥有可以检查链路和任何有效载荷的良好工具至关重要。高质量的下一代防火墙、安全电子邮件解决方案或端点技术也可以成为缓解这种威胁的有效工具。”
4. 创建移动设备和数据管理计划
大多数企业员工不仅使用公司设备进行办公,还会使用个人移动设备查看电子邮件、打开协作文档以及执行其他可能暴露公司敏感数据的操作。
Juniper Networks的Spanbauer表示,确保个人移动设备不会将网络暴露于不必要的威胁的最佳方法是制定并执行移动设备和数据管理计划。
Spanbauer解释称,“移动技术在处理和收集数据方面的能力正在不断增强,但许多公司仍然采用自带设备(BYOD)策略。不过,只要这些设备能够在可访问的资源和网络方面受到严格限制和监控,这也没什么关系。久经考验的主流数据管理解决方案始终是一个不错的选择。此外,对访客网络进行有效检查还有助于防止威胁在设备之间传播,并保护企业免受潜在威胁影响。”
5. 践行“无密码”策略并使用 UEBA
员工经常记不住他们的用户访问凭证,为了让事情变得更容易,他们选择使用简单的密码并将他们的信息存储在不安全的地方。不良的密码习惯使企业网络面临巨大风险,使恶意行为者有可能从任意数量的用户那里窃取凭据。
由于大量成功的网络攻击案例都是基于凭据盗窃,因此SecurID的Taylor等安全专家鼓励公司践行“无密码”以及用户和实体行为分析(UEBA)策略以确保用户帐户安全。
Taylor表示,“解决(远程工作者安全漏洞)的一种方法是采用现代安全原则,包括无密码、基于设备、基于风险和UEBA。这些现代安全原则和技术提高了安全性并改善了用户体验。通过简单地将手机放在口袋里,并以与以往相同的方式执行任务,您可以为用户创建一种网络安全立场,这比要求他们记住复杂的密码容易得多——而且也更安全。”
6. 更新您的事件响应计划
无论您部署了多少安全基础设施,每个网络中仍然可能存在一些最终会沦为黑客攻击目标的漏洞。大多数企业都犯了一个错误,即只是被动地响应这些事件,在安全问题出现时进行处理,而没有做任何额外的工作、培训或策略开发,为未来的攻击做好准备。
网络安全公司Open Systems的首席信息安全官Ric Longenecker认为,企业首先需要更新他们的事件响应计划并将其付诸实践。他表示,“在违规处理期间必须分秒必争,绝不能浪费宝贵的响应时间,企业应该以协调和有影响力的方式应对攻击事件。您的SecOps团队、IT员工和安全合作伙伴需要在发生违规时了解他们的角色、职责和任务,而且最好提前对他们进行“实战演练”,以了解响应计划的流程和现实效果。无论是面对勒索软件还是其他类型的攻击,快速响应可以决定一次安全事件只是‘麻烦’还是‘灾难’。如果您现在还没有制定事件响应计划,话不多说,快去制定一个!”
7. 定期监控和审计您的网络
与创建事件响应计划一样,定期监控和审计您的网络也很重要,这可以确保在小问题变成大问题之前发现并阻止它们。
Open Systems公司的Longenecker解释了让您的员工习惯监控和审计工作流程的重要性,“防火墙、防病毒软件、代理、多因素身份验证等预防性安全技术是必要的,但还不够。威胁参与者的格局已经从简单地开发恶意软件,发展到现在武器化恶意软件并使用可信的交付方法来掩盖其恶意活动。了解您的防护层是否正常工作的唯一方法,就是让安全专家使用最佳实践和可重复的流程来持续监控所有潜在的攻击面,以检测和响应威胁。许多组织对预防层采取‘一劳永逸’的方法,因此,持续监控已成为通过提供重要的反馈循环来最小化风险的基本要素。要知道,安全是一段旅程,而不是一个目的地。”
8. 制定强有力的数据治理原则
数据安全是更大网络安全原则的一个关键点,数据治理可确保正确的数据获得所需的保护。
IT和数据中心管理解决方案公司Flexential的网络安全副总裁Will Bass认为,强大的数据治理涉及在源头审查数据并持续保护人们避免不必要的数据访问。
Bass表示,“企业将太多数据存储了太久。要知道,敏感数据一直是恶意行为者的目标,这无疑增加了企业面临的风险。减少这种威胁需要良好的数据治理实践,例如删除任何不用于提供服务或不满足监管要求的数据。删除环境中不需要的敏感数据不仅可以降低被入侵的风险,还可以通过减少基础设施占用空间以及缩小隐私和其他监管要求的范围来降低IT成本。”
特别是在大数据时代,区分不需要的数据和需要保护的数据可能具有挑战性。但是,大型数据管理和云公司NetApp的CISO Seth Cutler认为,一些数据管理最佳实践会是一个很好的起点。他解释称,“看看公司必须管理、存储、检索、保护和备份的海量数据。随着这些数据不断增长,数据过载对网络安全的影响也在不断增加。因此,为数据生命周期管理、数据隐私合规、数据治理和数据保护制定策略至关重要。为了帮助纠正数据过载,公司应考虑数据分类、数据标记以及制定明确的数据保留指导和政策。”
9. 就常见威胁媒介对您的团队进行教育培训
企业倾向于将大部分时间和资金投入到正确的网络安全基础设施和工具上,却往往忽略了培训所有团队成员如何保护自身和企业免受安全威胁的重要性。
Flexential公司的Bass表示,企业组织有责任就常见的社交工程攻击和网络钓鱼实践对所有用户/员工进行培训。Bass解释称,“人为因素已经成为威胁企业安全的最大威胁之一。随着边界防御越来越完备,恶意行为者正在通过企业内部人员越过边界,使用网络钓鱼和鱼叉式网络钓鱼等技术在企业内部站稳脚跟。为了应对这种威胁,企业应该教育他们的员工识别社交工程的迹象,以及一旦他们怀疑有人试图诱骗他们应该采取什么行动。企业还应该使用这些方法进行定期演习,以检测其员工的学习成果。”
10. 自动化安全管理流程
尽管自动化并非所有网络安全问题的答案,但人工智能和机器学习驱动的工具可以更轻松地在云中设置安全监控和其他质量控制措施。
云原生数字取证公司Cado Security的首席执行官兼联合创始人James Campbell认为,云安全自动化是保护分布式网络最省时、最具成本效益的方法之一。
Campbel表示,“将自动化纳入云调查过程能够有效地减少了解事件根本原因、范围和影响所需的时间、资源和金钱。由于当今云中的数据量很大,组织需要适应云速度和规模并具备自动捕获和处理数据的能力。安全团队不必担心需要跨多个云团队和访问要求工作,或是他们的调查需要跨多个云平台、系统和区域的现实。虽然以前所有这些复杂性会拖延调查步伐或完全阻止调查的发生,但自动化通过减少进行调查所需的复杂性和时间成功逆转了局面。”